# Perlindungan data
<a name="a-data-protection"></a>

**Topics**
+ [SEC 7 Bagaimana cara mengklasifikasikan data Anda?](w2aac19b7c13b5.md)
+ [SEC 8 Bagaimana cara melindungi data Anda saat data diam?](w2aac19b7c13b7.md)
+ [SEC 9 Bagaimana cara melindungi data Anda saat data bergerak?](w2aac19b7c13b9.md)

# SEC 7 Bagaimana cara mengklasifikasikan data Anda?
<a name="w2aac19b7c13b5"></a>

Klasifikasi memberikan cara untuk mengategorikan data, berdasarkan tingkat kekritisan dan sensitivitas untuk membantu Anda menentukan kontrol retensi dan perlindungan yang sesuai.

**Topics**
+ [SEC07-BP01 Mengidentifikasi data dalam beban kerja Anda](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Menentukan kontrol perlindungan data](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Mengotomatisasi identifikasi dan klasifikasi](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Menentukan manajemen siklus hidup data](sec_data_classification_lifecycle_management.md)

# SEC07-BP01 Mengidentifikasi data dalam beban kerja Anda
<a name="sec_data_classification_identify_data"></a>

 Anda perlu mengerti jenis dan klasifikasi data yang diproses beban kerja Anda, proses bisnis terkait, pemilik data, hukum yang berlaku dan persyaratan kepatuhan, tempat penyimpanannya, serta kontrol yang dihasilkan dan perlu diterapkan. Hal ini dapat mencakup klasifikasi untuk menunjukkan apakah data dimaksudkan agar tersedia secara publik, apakah data hanya untuk penggunaan internal seperti informasi pengenal pribadi (PII) pelanggan, atau apakah data tersebut dimaksudkan untuk akses yang lebih terbatas seperti kekayaan intelektual, dilindungi secara hukum atau ditandai sensitif, dan lainnya. Dengan mengelola sistem klasifikasi data yang sesuai secara saksama, disertai dengan tingkat persyaratan perlindungan setiap beban kerja, Anda dapat memetakan kontrol dan tingkat akses atau perlindungan yang sesuai untuk data tersebut. Misalnya, konten publik tersedia untuk diakses siapa saja, tetapi konten penting disimpan dan dienkripsi secara aman serta memerlukan akses resmi ke kunci untuk mendekripsi konten. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Pertimbangkan untuk menggunakan Amazon Macie dalam menemukan data: Macie mengenali data sensitif seperti informasi pengenal pribadi (PII) atau kekayaan intelektual. 
  +  [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,) 
+  [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Video terkait:** 
+  [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP02 Menentukan kontrol perlindungan data
<a name="sec_data_classification_define_protection"></a>

 Lindungi data sesuai dengan tingkat klasifikasinya. Contohnya, amankan data dengan klasifikasi publik menggunakan rekomendasi yang relevan sekaligus melindungi data sensitif dengan kontrol tambahan. 

Dengan menggunakan tag sumber daya, pisahkan AWSakun berdasarkan sensitivitas (dan berpotensi juga untuk setiap peringatan, enklave, atau komunitas minat), kebijakan IAM, SCP AWS Organizations, AWS Key Management Service (AWS KMS), dan AWS CloudHSM, Anda dapat menentukan dan menerapkan kebijakan Anda untuk klasifikasi dan perlindungan data dengan enkripsi. Contohnya, jika Anda memiliki proyek dengan bucket S3 yang berisi data yang sangat penting atau instans Amazon Elastic Compute Cloud (Amazon EC2) yang memproses data rahasia, Anda dapat menandainya dengan tag `Project=ABC` . Hanya tim langsung Anda yang mengetahui arti kode proyek ini, dan ini menyediakan cara untuk menggunakan kontrol akses berbasis atribut. Anda dapat menentukan tingkatan akses ke kunci enkripsi AWS KMS melalui kebijakan dan pemberian kunci untuk memastikan hanya layanan yang sesuai yang memiliki akses ke konten sensitif melalui mekanisme yang aman. Jika Anda membuat keputusan otorisasi berdasarkan tag, Anda harus memastikan bahwa izin pada tag telah ditentukan dengan tepat menggunakan kebijakan tag di AWS Organizations.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Tentukan identifikasi dan skema klasifikasi data Anda: Identifikasi dan klasifikasi data Anda dilakukan untuk menilai potensi dampak dan tipe data yang Anda simpan dan siapa saja yang dapat mengaksesnya. 
  +  [Dokumentasi AWS](https://docs.aws.amazon.com/) 
+  Temukan kontrol AWS yang tersedia: Untuk layanan AWS yang sedang atau akan Anda gunakan, temukan kontrol keamanannya. Banyak layanan memiliki bagian keamanan dalam dokumentasinya. 
  +  [Dokumentasi AWS](https://docs.aws.amazon.com/) 
+  Kenali sumber daya kepatuhan AWS: Kenali sumber daya yang disediakan oleh AWS untuk membantu. 
  +  [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Dokumentasi AWS](https://docs.aws.amazon.com/) 
+  [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 
+  [Teks Hilang](https://aws.amazon.com/compliance/) 

 **Video terkait:** 
+  [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP03 Mengotomatisasi identifikasi dan klasifikasi
<a name="sec_data_classification_auto_classification"></a>

 Otomatisasi identifikasi dan klasifikasi data dapat membantu Anda mengimplementasikan kontrol yang tepat. Menggunakan otomatisasi untuk hal ini, sebagai ganti akses langsung dari orang, dapat mengurangi risiko kesalahan dan eksposur manusia. Anda harus mengevaluasi menggunakan alat, seperti [Amazon Macie](https://aws.amazon.com/macie/), yang menggunakan machine learning untuk menemukan, mengelompokkan, dan melindungi data sensitif secara otomatis di AWS. Amazon Macie mengenali data sensitif, seperti informasi pengenal pribadi (PII) atau kekayaan intelektual, dan membekali Anda dengan dasbor dan peringatan yang memberikan visibilitas tentang bagaimana data ini diakses atau dipindahkan. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Gunakan Inventaris Amazon Simple Storage Service (Amazon S3): Inventaris Amazon S3 adalah salah satu alat yang dapat Anda gunakan untuk mengaudit serta melaporkan replikasi dan status enkripsi objek. 
  +  [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Pertimbangkan Amazon Macie: Amazon Macie menggunakan machine learning untuk secara otomatis menemukan dan mengelompokkan data yang disimpan di Amazon S3.
  +  [Amazon Macie](https://aws.amazon.com/macie/) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Video terkait:** 
+  [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP04 Menentukan manajemen siklus hidup data
<a name="sec_data_classification_lifecycle_management"></a>

 Strategi siklus hidup yang ditentukan harus berdasarkan tingkat sensitivitas serta persyaratan hukum dan organisasi. Aspek-aspek yang perlu diperhatikan mencakup durasi mempertahankan data, proses penghancuran data, manajemen akses data, transformasi data, dan berbagi data. Saat memilih metodologi klasifikasi data, seimbangkan ketergunaan dan akses. Anda juga harus mengakomodasi beberapa tingkat akses dan perbedaan untuk mengimplementasikan pendekatan yang aman tetapi masih dapat digunakan untuk masing-masing tingkat. Selalu gunakan pendekatan pertahanan mendalam dan kurangi akses manusia ke data dan mekanisme untuk mentransformasi, menghapus, atau menyalin data. Misalnya, pengguna perlu diautentikasi oleh aplikasi, dan berikan izin akses yang diperlukan untuk melakukan tindakan dari jarak jauh kepada aplikasi, bukan pengguna. Selain itu, pastikan bahwa pengguna berasal dari jalur jaringan tepercaya dan memerlukan akses ke kunci dekripsi. Gunakan alat seperti dasbor dan pelaporan otomatis untuk memberikan informasi data kepada pengguna daripada memberi mereka akses langsung ke data. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Identifikasikan jenis data: Identifikasikan jenis data yang disimpan atau diproses di beban kerja. Data tersebut dapat berupa teks, gambar, basis data biner, dan lainnya. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Laporan Resmi Klasifikasi Data](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Mulai menggunakan Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Video terkait:** 
+  [Memperkenalkan Amazon Macie Baru](https://youtu.be/I-ewoQekdXE) 

# SEC 8 Bagaimana cara melindungi data Anda saat data diam?
<a name="w2aac19b7c13b7"></a>

Lindungi data diam dengan mengimplementasikan beberapa kontrol, untuk mengurangi risiko akses tanpa otorisasi atau penanganan yang salah.

**Topics**
+ [SEC08-BP01 Implementasikan manajemen kunci yang aman](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Menerapkan enkripsi data diam](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Mengotomatiskan perlindungan data diam](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Menerapkan kontrol akses](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Menggunakan mekanisme untuk mencegah orang mengakses data](sec_protect_data_rest_use_people_away.md)

# SEC08-BP01 Implementasikan manajemen kunci yang aman
<a name="sec_protect_data_rest_key_mgmt"></a>

 Dengan menetapkan pendekatan enkripsi yang mencakup penyimpanan, rotasi, dan kontrol akses kunci, Anda dapat membantu melindungi konten Anda dari pengguna yang tidak berwenang dan dari pengungkapan yang tidak perlu ke pengguna yang berwenang. AWS Key Management Service (AWS KMS) membantu Anda mengelola kunci enkripsi dan [berintegrasi dengan banyak layanan AWS](https://aws.amazon.com/kms/details/#integration). Layanan ini memberikan penyimpanan yang tahan lama, aman, dan berulang untuk kunci AWS KMS Anda. Anda dapat menetapkan kebijakan tingkat kunci dan alias kunci Anda. Kebijakan ini membantu Anda menentukan administrator kunci serta pengguna kunci. Selain itu, AWS CloudHSM adalah modul keamanan perangkat keras (HSM) berbasis cloud yang memungkinkan Anda untuk dengan mudah membuat dan menggunakan kunci enkripsi Anda sendiri di AWS Cloud. Ini membantu Anda memenuhi persyaratan korporasi, kontrak, dan kepatuhan terhadap peraturan untuk keamanan data dengan menggunakan HSM yang divalidasi FIPS 140-2 Level 3. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasi AWS KMS: AWS KMS mempermudah Anda untuk membuat dan mengelola kunci dan mengontrol penggunaan enkripsi di berbagai macam layanan AWS dan di aplikasi Anda. AWS KMS adalah layanan yang aman dan tangguh, yang menggunakan modul keamanan perangkat keras yang divalidasi FIPS 140-2 untuk melindungi kunci Anda. 
  +  [Memulai: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  Pertimbangkan SDK Enkripsi AWS: Gunakan SDK Enkripsi AWS dengan integrasi AWS KMS ketika aplikasi Anda harus mengenkripsi data di sisi klien. 
  +  [SDK Enkripsi AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [Layanan dan alat kriptografi AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Memulai: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  [Melindungi Data Amazon S3 Menggunakan Enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Video terkait:** 
+  [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM) 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP02 Menerapkan enkripsi data diam
<a name="sec_protect_data_rest_encrypt"></a>

 Anda harus memastikan bahwa satu-satunya cara untuk menyimpan data adalah dengan menggunakan enkripsi. AWS Key Management Service (AWS KMS) terintegrasi secara mulus dengan beberapa layanan AWS untuk mempermudah Anda mengenkripsi semua data diam Anda. Misalnya, di Amazon Simple Storage Service (Amazon S3), Anda dapat mengatur [enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) pada bucket sehingga semua objek baru terenkripsi secara otomatis. Selain itu, [Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)dan [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) mendukung penegakan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk memeriksa secara otomatis bahwa Anda menggunakan enkripsi, misalnya, untuk [volume Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instans Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), dan [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html). 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Terapkan enkripsi data diam untuk Amazon Simple Storage Service (Amazon S3): Implementasikan enkripsi default bucket Amazon S3. 
  +  [Bagaimana cara mengaktifkan enkripsi default untuk bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  Gunakan AWS Secrets Manager: Secrets Manager adalah layanan AWS yang memudahkan Anda mengelola secret. Secret (rahasia) bisa berupa kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. 
  +  [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 
+  Konfigurasikan enkripsi default untuk volume EBS baru: Tentukan bahwa Anda ingin agar semua volume EBS baru dibuat dalam bentuk terenkripsi, dengan opsi penggunaan kunci default yang disediakan oleh AWS, atau kunci yang Anda buat. 
  +  [Enkripsi default untuk volume EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  Konfigurasikan Amazon Machine Image (AMI) terenkripsi: Menyalin AMI yang ada dengan enkripsi aktif akan mengenkripsi volume root dan snapshot secara otomatis. 
  +  [AMI dengan Snapshot terenkripsi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  Konfigurasikan enkripsi Amazon Relational Database Service (Amazon RDS): Konfigurasikan enkripsi untuk klaster dan snapshot basis data Amazon RDS Anda saat diam dengan mengaktifkan opsi enkripsi. 
  +  [Mengenkripsi sumber daya Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html) 
+  Konfigurasikan enkripsi di layanan AWS tambahan: Untuk layanan AWS yang Anda gunakan, tentukan kemampuan enkripsi. 
  +  [Dokumentasi AWS](https://docs.aws.amazon.com/) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AMI dengan Snapshot terenkripsi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [Dokumentasi AWS](https://docs.aws.amazon.com/) 
+  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 
+  [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 
+  [Layanan dan alat kriptografi AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Enkripsi.Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  [Enkripsi default untuk volume EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  [Mengenkripsi Sumber Daya Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) 
+  [Bagaimana cara mengaktifkan enkripsi default untuk bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  [Melindungi Data Amazon S3 Menggunakan Enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Video terkait:** 
+  [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM) 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP03 Mengotomatiskan perlindungan data diam
<a name="sec_protect_data_rest_automate_protection"></a>

 Gunakan alat otomatis untuk memvalidasi dan menegakkan kontrol data diam secara terus menerus, misalnya, memastikan bahwa hanya ada sumber daya penyimpanan terenkripsi. Anda bisa [mengotomatiskan validasi bahwa semua volume EBS telah dienkripsi](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) menggunakan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) juga dapat memverifikasi beberapa kontrol yang berbeda melalui pemeriksaan otomatis berdasarkan standar keamanan. Selain itu, Aturan AWS Config Anda secara otomatis bisa [memperbaiki sumber daya yang tidak patuh](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation). 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang 

## Panduan implementasi
<a name="implementation_guidance"></a>

 *Data diam* mewakili data yang Anda pertahankan di penyimpanan non-volatile selama durasi apa pun di beban kerja Anda. Data ini mencakup penyimpanan blok, penyimpanan objek, basis data, arsip, perangkat IoT, dan medium penyimpanan lain di mana datanya dipertahankan. Melindungi data diam Anda dapat mengurangi risiko akses yang tidak sah, ketika enkripsi dan kontrol akses yang tepat diimplementasikan. 

 Terapkan enkripsi data diam: Anda harus memastikan bahwa satu-satunya cara untuk menyimpan data adalah dengan menggunakan enkripsi. AWS KMS terintegrasi secara mulus dengan beberapa layanan AWS untuk mempermudah Anda mengenkripsi semua data diam Anda. Misalnya, di Amazon Simple Storage Service (Amazon S3) Anda bisa mengatur [enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) pada bucket sehingga semua objek baru terenkripsi secara otomatis. Selain itu, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) dan [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) mendukung penegakan enkripsi dengan mengatur enkripsi default. Anda dapat menggunakan [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) untuk memeriksa secara otomatis bahwa Anda menggunakan enkripsi, misalnya, untuk [volume EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instans Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), dan [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html). 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

 **Video terkait:** 
+  [Cara Kerja Enkripsi di AWS](https://youtu.be/plv7PQZICCM) 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP04 Menerapkan kontrol akses
<a name="sec_protect_data_rest_access_control"></a>

Terapkan kontrol akses dengan mekanisme dan hak akses paling rendah, termasuk pencadangan, isolasi, dan versioning, untuk membantu melindungi data diam. Cegah operator memberikan akses publik ke data Anda. 

 Berbagai macam kontrol, termasuk akses (menggunakan hak akses paling rendah, pencadangan (lihat [Laporan resmi keandalan](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), isolasi, dan versioning dapat membantu melindungi data diam Anda. Akses ke data Anda harus diaudit menggunakan mekanisme deteksi yang sebelumnya telah dibahas dalam laporan ini, termasuk CloudTrail dan log tingkat layanan, seperti log akses Amazon Simple Storage Service (Amazon S3). Anda harus membuat daftar data mana yang dapat diakses publik, dan merencanakan cara mengurangi ketersediaan jumlah data dari waktu ke waktu. Kunci Vault Amazon Glacier dan Kunci Objek Amazon S3 adalah kemampuan untuk memberikan kontrol akses wajib—begitu kebijakan vault dikunci dengan opsi kepatuhan, kebijakan tersebut tidak akan dapat diubah hingga kedaluwarsa, bahkan oleh pengguna root sekalipun. Mekanisme tersebut memenuhi persyaratan Manajemen Pembukuan dan Arsip dari SEC, CFTC, dan FINRA. Untuk detail selengkapnya, lihat [laporan resmi ini](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf). 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Terapkan akses kontrol: Terapkan akses kontrol dengan hak akses paling rendah, termasuk akses ke kunci enkripsi. 
  +  [Pengantar Manajemen Izin Akses ke Sumber Daya Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  Pisahkan data berdasarkan tingkat klasifikasi yang berbeda: Gunakan berbagai Akun AWS untuk tingkat klasifikasi data yang dikelola oleh AWS Organizations. 
  +  [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 
+  Tinjau kebijakan AWS KMS: Tinjau tingkat akses yang diberikan di kebijakan AWS KMS. 
  +  [Ikhtisar manajemen akses ke sumber daya AWS KMS Anda](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  Tinjau izin objek dan bucket Amazon S3: Tinjau tingkat akses yang diberikan dalam kebijakan bucket Amazon S3 secara rutin. Praktik terbaiknya adalah tidak memiliki bucket yang dapat dibaca atau ditulis secara publik. Coba gunakan AWS Config untuk mendeteksi bucket yang tersedia untuk publik, dan Amazon CloudFront untuk menyajikan konten dari Amazon S3. 
  +  [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
  +  [Amazon S3 \$1 Amazon CloudFront: Kombinasi Fantastis di Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  Mengaktifkan kunci objek dan versioning Amazon S3. 
  +  [Menggunakan versioning](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
  +  [Mengunci Objek Menggunakan Kunci Objek Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  Gunakan Inventaris Amazon S3: Inventaris Amazon S3 adalah salah satu alat yang dapat Anda gunakan untuk mengaudit serta melaporkan replikasi dan status enkripsi objek. 
  +  [Inventaris Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Tinjau izin berbagi AMI dan Amazon EBS: Dengan izin berbagi, Anda dapat membagikan gambar dan volume ke Akun AWS eksternal ke beban kerja Anda. 
  +  [Membagikan Cuplikan Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
  +  [AMI Bersama](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Video terkait:** 
+  [Mengamankan Penyimpanan Blok di AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP05 Menggunakan mekanisme untuk mencegah orang mengakses data
<a name="sec_protect_data_rest_use_people_away"></a>

 Cegah semua pengguna dari mengakses sistem dan data sensitif secara langsung saat kondisi operasional normal. Misalnya, gunakan alur kerja manajemen perubahan untuk mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) menggunakan alat, bukan dengan mengizinkan akses langsung atau host bastion. Hal ini dapat dicapai dengan [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), yaitu menggunakan [dokumen otomatis](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) yang berisi langkah yang Anda gunakan untuk menjalankan tugas. Dokumen tersebut dapat disimpan di kontrol sumber, ditinjau oleh rekan sebelum dijalankan, dan diuji secara menyeluruh untuk meminimalkan risiko dibandingkan akses shell. Pengguna bisnis dapat menggunakan dasbor, bukan akses langsung ke penyimpanan data, untuk menjalankan kueri. Ketika pipeline CI/CD tidak digunakan, tentukan proses dan kontrol mana yang diperlukan agar dapat menyediakan mekanisme akses break-glass nonaktif secara normal. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan mekanisme untuk mencegah orang dari mengakses data: Mekanisme termasuk menggunakan dasbor, seperti Quick, untuk menampilkan data ke pengguna ketimbang membuat kueri secara langsung. 
  +  [Quick](https://aws.amazon.com/quicksight/) 
+  Otomatiskan manajemen konfigurasi: Lakukan tindakan dari jarak jauh, terapkan dan validasikan konfigurasi keamanan secara otomatis menggunakan layanan atau alat manajemen konfigurasi. Hindari penggunaan host bastion atau mengakses instans EC2 secara langsung. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
  +  [Pipeline CI/CD untuk templat AWS CloudFormation di AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Laporan Resmi Detail Kriptografi AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Video terkait:** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC 9 Bagaimana cara melindungi data Anda saat data bergerak?
<a name="w2aac19b7c13b9"></a>

Lindungi data bergerak dengan mengimplementasikan beberapa kontrol untuk mengurangi risiko akses tanpa otorisasi atau hilangnya data.

**Topics**
+ [SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Terapkan enkripsi data bergerak](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Mengotomatiskan deteksi akses data yang tidak dimaksudkan](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Sahkan komunikasi jaringan](sec_protect_data_transit_authentication.md)

# SEC09-BP01 Mengimplementasikan manajemen sertifikat dan kunci keamanan
<a name="sec_protect_data_transit_key_cert_mgmt"></a>

 Simpan kunci dan sertifikat enkripsi dengan aman dan rotasikan pada interval waktu yang sesuai dengan kontrol akses yang ketat. Cara terbaik untuk mencapainya adalah dengan menggunakan layanan terkelola, seperti [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Layanan ini memungkinkan Anda dengan mudah menyediakan, mengelola, dan men-deploy sertifikat Keamanan Lapisan Pengangkutan (TLS) publik dan privat untuk digunakan bersama layanan AWS dan sumber daya internal Anda yang terhubung. Sertifikat TLS digunakan untuk mengamankan komunikasi jaringan dan membangun identitas situs web di internet serta sumber daya di jaringan privat. ACM terintegrasi dengan sumber daya AWS, seperti Penyeimbang Beban Elastis (ELB), distribusi AWS, dan API di API Gateway, yang juga menangani pembaruan sertifikat secara otomatis. Jika Anda menggunakan ACM untuk men-deploy CA root privat, sertifikat serta kunci privat dapat disediakan olehnya untuk digunakan di instans Amazon Elastic Compute Cloud (Amazon EC2), kontainer, dan lain-lain. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan manajemen kunci dan sertifikat yang aman: Implementasikan kunci solusi manajemen kunci dan sertifikat aman yang Anda tetapkan. 
  + [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
  + [ Cara meng-host dan mengelola seluruh infrastruktur sertifikat privat di AWS. ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+  Implementasikan protokol aman: Gunakan protokol aman yang menawarkan autentikasi dan kerahasiaan, seperti Keamanan Lapisan Pengangkutan (TLS) atau IPsec, untuk mengurangi risiko pengrusakan atau kehilangan data. Pelajari dokumentasi AWS untuk mengetahui protokol dan keamanan yang relevan dengan layanan yang sedang Anda gunakan. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Dokumentasi AWS](https://docs.aws.amazon.com/)

# SEC09-BP02 Terapkan enkripsi data bergerak
<a name="sec_protect_data_transit_encrypt"></a>

 Terapkan persyaratan enkripsi yang Anda tetapkan berdasarkan standar dan saran yang sesuai untuk membantu Anda memenuhi persyaratan organisasi, hukum, dan kepatuhan Anda. Layanan AWS menyediakan titik akhir HTTPS menggunakan TLS untuk komunikasi, sehingga menyediakan enkripsi data bergerak saat berkomunikasi dengan API AWS. Protokol yang tidak aman, seperti HTTP, dapat diaudit dan diblokir di VPC melalui penggunaan grup keamanan. Permintaan HTTP juga dapat [dialihkan secara otomatis ke HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) di Amazon CloudFront atau di [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Anda memiliki kendali penuh atas sumber daya komputasi Anda untuk mengimplementasikan enkripsi data bergerak di seluruh layanan Anda. Selain itu, Anda dapat menggunakan sambungan VPN ke dalam VPC Anda dari jaringan eksternal untuk memudahkan enkripsi lalu lintas. Solusi pihak ketiga tersedia di AWS Marketplace, jika Anda memiliki persyaratan khusus. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Terapkan enkripsi data bergerak: Persyaratan enkripsi yang Anda tetapkan harus didasarkan pada standar dan praktik terbaik paling baru dan hanya mengizinkan protokol yang aman. Misalnya, hanya konfigurasikan grup keamanan agar mengizinkan protokol HTTPS ke penyeimbang beban aplikasi atau instans Amazon Elastic Compute Cloud (Amazon EC2). 
+  Konfigurasikan protokol aman di layanan edge: Konfigurasikan HTTPS dengan Amazon CloudFront dan sandi yang diperlukan. 
  + [ Menggunakan HTTPS dengan CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+  Gunakan VPN untuk sambungan eksternal: Pertimbangkan penggunaan jaringan privat virtual (VPN) IPsec untuk mengamankan sambungan titik ke titik atau jaringan ke jaringan untuk menyediakan privasi sekaligus integritas data. 
  + [ Sambungan VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+  Konfigurasikan protokol aman di penyeimbang beban: Aktifkan listener HTTPS untuk mengamankan sambungan ke penyeimbang beban. 
  + [ Listener HTTPS untuk penyeimbang beban aplikasi Anda ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+  Konfigurasikan protokol aman untuk instans: Pertimbangkan konfigurasi enkripsi HTTPS pada instans. 
  + [ Tutorial: Mengonfigurasi server web Apache di Amazon Linux 2 untuk menggunakan SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+  Konfigurasikan protokol aman di Amazon Relational Database Service (Amazon RDS): Gunakan lapisan soket aman (SSL) atau keamanan lapisan pengangkutan (TLS) untuk mengenkripsi koneksi ke instans basis data. 
  + [ Menggunakan SSL untuk mengenkripsi koneksi ke Instans DB ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+  Konfigurasikan protokol aman di Amazon Redshift: Konfigurasikan klaster Anda agar mewajibkan koneksi lapisan soket aman (SSL) atau keamanan lapisan pengangkutan (TLS). 
  + [ Mengonfigurasi opsi-opsi keamanan untuk koneksi ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+  Konfigurasikan protokol aman di layanan AWS tambahan: Untuk layanan AWS yang Anda gunakan, tentukan kemampuan enkripsi data bergerak. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Dokumentasi AWS](https://docs.aws.amazon.com/index.html)

# SEC09-BP03 Mengotomatiskan deteksi akses data yang tidak dimaksudkan
<a name="sec_protect_data_transit_auto_unintended_access"></a>

 Gunakan alat seperti Amazon GuardDuty untuk secara otomatis mendeteksi aktivitas mencurigakan atau mencoba memindahkan data di luar batas yang telah ditetapkan. Misalnya, GuardDuty dapat mendeteksi aktivitas baca Amazon Simple Storage Service (Amazon S3) yang tidak seperti biasanya dengan [Temuan Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Selain GuardDuty, [Log Alur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)yang mendokumentasikan informasi lalu lintas jaringan, dapat digunakan dengan Amazon EventBridge untuk memicu deteksi koneksi tidak normal, baik yang berhasil maupun yang ditolak. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) dapat membantu mengukur data apa yang dapat diakses di dalam bucket Amazon S3 Anda. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Otomatiskan deteksi akses data yang tidak dimaksudkan: Gunakan alat atau mekanisme deteksi untuk secara otomatis mendeteksi upaya untuk memindahkan data di luar batas yang ditetapkan; misalnya, untuk mendeteksi sistem basis data yang menyalin data ke host tidak dikenal. 
  + [ Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+  Pertimbangkan Amazon Macie: Amazon Macie adalah layanan privasi data dan keamanan data terkelola secara penuh yang menggunakan machine learning dan pencocokan pola untuk menemukan dan melindungi data sensitif Anda di AWS. 
  + [ Amazon Macie ](https://aws.amazon.com/macie/)

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+ [ Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+ [ Amazon Macie ](https://aws.amazon.com/macie/)

# SEC09-BP04 Sahkan komunikasi jaringan
<a name="sec_protect_data_transit_authentication"></a>

 Verifikasi identitas komunikasi dengan menggunakan protokol yang mendukung autentikasi, seperti Keamanan Lapisan Pengangkutan (TLS) atau IPsec. 

Menggunakan protokol jaringan yang mendukung autentikasi, biarkan kepercayaan terjalin antara para pihak. Ini menambahkan ke enkripsi yang digunakan dalam protokol untuk mengurangi risiko pengubahan atau penyadapan komunikasi. Protokol umum yang mengimplementasikan autentikasi antara lain Keamanan Lapisan Pengangkutan (TLS), yang digunakan dalam banyak layanan AWS, dan IPsec, yang digunakan di [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan protokol aman: Gunakan protokol aman yang menawarkan autentikasi dan kerahasiaan, seperti TLS atau IPsec, untuk mengurangi risiko pengrusakan atau kehilangan data. Periksa [dokumentasi AWS](https://docs.aws.amazon.com/) untuk mengetahui protokol dan keamanan yang relevan dengan layanan yang sedang Anda gunakan. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Dokumentasi AWS](https://docs.aws.amazon.com/)